- 「Noroboto(ノロボト)攻撃」は、人間とAIにまったく違う文章を読ませる新しい手口です
- 秘密は「嘘のフォント」。見た目は正しい契約書なのに、AIが読むと中身が書き換わっています
- 2026年5月22日、米LegalQuantsの調査チームが発見して公表しました
- ねらわれるのは契約書。「メリーランド州」が「デラウェア州」にすり替わる、といった改ざんが可能です
- 防ぐカギは「画像として読み直す(OCR)」こと。日本のAI契約レビューにも関係する話です
「AIに契約書をチェックさせれば安心」。そう思ったことはありませんか? ところが、人間には正しく見える書類なのに、AIだけが別の内容を読んでしまう攻撃が登場しました。その名も「Noroboto(ノロボト)攻撃」。この記事を読むと、その仕組みと危険性、そして自分や会社を守る方法がわかります。
Noroboto攻撃とは?「人間とAIに違う文章を見せる」手口
Noroboto攻撃は、ひとことで言うと「文書のなりすまし」です。
目で見る文章と、AIが読み取る文章を、わざとズラします。
人間が画面で見る契約書は、まったく正常に見えます。ところが同じファイルをAIが解析すると、中身がこっそり別の言葉に入れ替わっているのです。
この攻撃は、2026年5月22日に米国の法律テック企業LegalQuantsの調査チーム(Drew Miller氏ら)が発見し、公表しました。
彼らはこれを「lexploit(レクスプロイト)」と呼んでいます。法律(law)と自動化(automation)のすき間に生まれる弱点、という意味の造語です。
なぜ「嘘のフォント」でだませるのか
カギは「フォント(文字の見た目のデータ)」
Noroboto攻撃の正体は、ファイルに埋め込まれた「嘘のフォント」です。
フォントとは、文字の形(グリフ)を決めるデータのことです。
実は文字には「見た目の形」と「文字コード(Unicodeという内部の番号)」という2つの顔があります。ふつうは形と番号がきちんと一致しています。
攻撃者はここに細工をします。「見た目はA、でも中身の番号はB」という、うそをつくフォントを作って書類に埋め込むのです。
2つのやり方がある
攻撃には大きく2種類あります。
- 置き換え型:画面には「メリーランド州」と表示されるのに、AIが読む番号は「デラウェア州」。意味そのものがすり替わります
- 文字化け型:文字を「私用領域(PUA)」という特別な番号に飛ばし、コピーすると「□□□」のような豆腐(トーフ)状の記号になります
より危険なのは置き換え型です。人間もAIも気づきにくく、いかにも自然に見えるからです。
なぜ契約書が一番ねらわれるのか
攻撃の標的は、とくに契約書です。理由は3つあります。
1つ目は、契約書ではフォントを埋め込むのが当たり前だからです。どのパソコンで開いてもレイアウトやページ番号がズレないように、あらかじめフォントを入れておきます。攻撃者はこの習慣を逆手に取ります。
2つ目は、契約書では1文字・1ページの違いが法的な意味を持つからです。金額や州名、日付が変われば、契約の中身がまるごと変わってしまいます。
3つ目は、AIの「手抜き」です。多くのAIは、書類を画像として見直さず、与えられた文字コードをそのまま信じて処理します。そこがすき間になります。
実際にどんな被害が想像できるのか
身近なシーンで考えてみましょう。
ある中小企業の法務担当者が、取引先から届いた契約書のPDFをAIレビューツールに読み込ませたとします。AIは「問題なし」と返しました。担当者も画面で確認し、正しい金額が書かれているのを見て署名しました。
ところがこの契約書には嘘のフォントが仕込まれていました。AIが読んだ「本当のデータ」では、支払期限や違約金の条件がこっそり変えられていたのです。人もAIも、それぞれ違う理由でだまされました。
ほかにも、こんな悪用が考えられます。
- 採用の応募書類で、AIの自動チェックだけをすり抜けるように経歴を偽装する
- 行政や金融の申請書で、審査AIには有利な数字を、人間の目には正規の数字を見せる
- 社内規定やマニュアルを、AIアシスタントにだけ誤った内容として学習させる
ほかのAI攻撃と何が違うのか
「見えない文字でAIをだます」攻撃は、実はほかにもあります。代表的なものと比べてみましょう。
- 不可視文字(ゼロ幅文字)による攻撃:人間には見えない透明な文字にAIへの命令を隠す手口。メールに潜ませて、AIアシスタントだけを操ります
- ホモグリフ攻撃:見た目がそっくりな別の文字(キリル文字のaなど)に置き換えて、フィルターをすり抜けます
- 双方向テキスト(Bidi)の悪用:文字の表示順をひっくり返し、人とプログラムに違う並びを見せます
これらの多くは「人間には普通に見せて、AIに隠し命令を送る」タイプです。
Noroboto攻撃はその逆に近い発想です。正しい書類を人間に見せながら、AIには中身をすり替えて読ませます。フォントという「文字の土台」そのものにうそをつかせる点が、新しくて厄介なところです。
防ぐ方法はあるのか
安心してください。対策も研究が進んでいます。
もっとも効果的なのは、すべての書類をいったん画像にして読み直す(レンダリング+OCR)ことです。OCRとは、画像から文字を読み取る技術のことです。実際の見た目から文字を起こせば、嘘のフォントは通用しません。
そのほかの対策も紹介します。
- Word文書などで埋め込みフォントをブロックする
- フォントの「見た目」と「文字コード」が一致しているか自動で検証する
実際、Tritiumという企業はRust言語で検証ツールを公開しました。フォントの見た目をOCRで読み取り、内部の文字コードとどれだけ一致するかを点数化します。ズレがあれば「あやしいフォント」として警告する仕組みです。
ただし、万能の対策はまだありません。攻撃側も、最新の高性能AIでないと解けない暗号のような細工を使い始めています。防御と攻撃の追いかけっこは続きそうです。
日本のユーザー・企業への影響
「海外の話でしょ?」と思うかもしれません。ですが、日本にとっても他人ごとではありません。
いま日本でも、AIで契約書をチェックするサービスが急速に広がっています。法務の人手不足を補う「リーガルテック」として、多くの企業が導入を進めています。
日本語の書類は、ふりがな(ルビ)や特殊な明朝・ゴシック体など、フォントを埋め込む場面がとても多いです。つまり、嘘のフォントを仕込む余地も大きいと考えられます。
対策はシンプルです。「AIの判断だけを信じきらない」こと。大事な契約は、AIチェックに加えて、印刷やPDFの見た目を人の目でも確認する。この二重チェックが、当面もっとも現実的な守り方になりそうです。
よくある質問(FAQ)
Q1. Noroboto攻撃は、普通のパソコンでも被害に遭いますか?
はい。特別なソフトは不要で、細工したフォント入りの文書ファイルを開くだけで成立します。ただし被害が大きいのは、その文書をAIに自動処理させる場合です。
Q2. 自分で見破ることはできますか?
見た目はほぼ正常なので、目視だけで気づくのは困難です。文字をコピーして貼り付けたとき、文字化けや不自然な記号が出たら要注意のサインです。
Q3. AIが賢くなれば防げますか?
最新の高性能AIは一部の細工を見破れることもあります。しかし攻撃も進化しており、AIの賢さだけに頼るのは危険です。OCRなどの仕組みでの対策が必要です。
Q4. 個人がすぐできる対策は?
出所の不明な文書ファイルを安易にAIへ入力しないことです。重要な書類は、見た目とコピーした中身の両方を確認しましょう。
まとめ
今回の要点を振り返ります。
- Noroboto攻撃は「人間とAIに違う文章を読ませる」新しい手口
- 正体は、見た目と文字コードでうそをつく「嘘のフォント」
- 2026年5月22日に米LegalQuantsが発見・公表
- とくに契約書がねらわれ、州名や金額のすり替えが可能
- 最強の対策は「画像にして読み直す(OCR)」こと
- AI契約レビューが広がる日本にも関係する話
まずは「AIの読み取りを100%は信じない」という意識を持つことから始めてみてください。それが、あなたと会社を守る第一歩になります。


